Jaká jsou výchozí uživatelská oprávnění v Microsoft Entra ID?
V Microsoft Entra ID jsou všem uživatelům udělena sada výchozích oprávnění. Přístup uživatele se skládá z typu uživatele, jejich přiřazení rolí a jejich vlastnictví jednotlivých objektů.
Tento článek popisuje výchozí oprávnění a porovnává výchozí nastavení člena a uživatele typu host. Výchozí uživatelská oprávnění lze změnit pouze v uživatelských nastaveních v MICROSOFT Entra ID.
Členové a uživatelé typu host
Sada výchozích oprávnění závisí na tom, jestli je uživatel nativním členem tenanta (člena uživatele) nebo je přenesen z jiného adresáře, například hosta spolupráce B2B (business-to-business). Další informace o přidávání uživatelů typu host naleznete v tématu Co je spolupráce Microsoft Entra B2B?. Tady jsou možnosti výchozích oprávnění:
Členové můžou registrovat aplikace, spravovat vlastní profilové fotky a číslo mobilního telefonu, měnit vlastní heslo a pozvat hosty B2B. Tito uživatelé můžou také číst všechny informace o adresáři (s několika výjimkami).
Uživatelé typu host mají omezená oprávnění k adresáři. Můžou spravovat svůj vlastní profil, měnit vlastní heslo a načítat některé informace o jiných uživatelích, skupinách a aplikacích. Nemůžou ale číst všechny informace o adresáři.
Například uživatelé typu host nemůžou vytvořit výčet všech uživatelů, skupin a dalších objektů adresáře. Hosty je možné přidat do rolí správce, které jim udělují úplná oprávnění ke čtení a zápisu. Hosté mohou také pozvat další hosty.
Porovnání výchozích oprávnění pro členy a hosty
Plocha | Uživatelská oprávnění člena | Výchozí uživatelská oprávnění typu host | Omezená oprávnění uživatele typu host |
---|---|---|---|
Uživatelé a kontakty |
|
|
|
Skupiny |
|
|
|
Aplikace |
|
|
|
Zařízení |
|
Žádná oprávnění | Žádná oprávnění |
Organizace |
|
|
|
Role a obory |
|
Žádná oprávnění | Žádná oprávnění |
Předplatná |
|
Žádná oprávnění | Žádná oprávnění |
Zásady |
|
Žádná oprávnění | Žádná oprávnění |
Omezení výchozích oprávnění uživatelů členů
K výchozím oprávněním uživatelů je možné přidat omezení.
Výchozí oprávnění členů je možné omezit následujícími způsoby:
Upozornění
Použití přepínače Omezit přístup k portálu pro správu Microsoft Entra není bezpečnostní opatření. Další informace o funkcích najdete v následující tabulce.
Oprávnění | Vysvětlení nastavení |
---|---|
Registrace aplikací | Nastavením této možnosti na Ne zabráníte uživatelům vytvářet registrace aplikací. Potom můžete udělit možnost zpět konkrétním jednotlivcům tak, že je přidáte do role vývojáře aplikace. |
Povolit uživatelům připojení pracovního nebo školního účtu s LinkedInem | Nastavením této možnosti na Ne zabráníte uživatelům v připojení pracovního nebo školního účtu ke svému účtu LinkedIn. Další informace najdete v tématu Sdílení dat a souhlas připojení účtu LinkedIn. |
Vytvoření skupin zabezpečení | Nastavením této možnosti na Ne zabráníte uživatelům vytvářet skupiny zabezpečení. Tito uživatelé, kteří mají přiřazenou alespoň roli Správci uživatelů, mohou stále vytvářet skupiny zabezpečení. Postup najdete v rutinách Microsoft Entra pro konfiguraci nastavení skupiny. |
Vytvoření skupin Microsoftu 365 | Nastavením této možnosti na Ne zabráníte uživatelům vytvářet skupiny Microsoftu 365. Když tuto možnost nastavíte na Některé , umožníte skupině uživatelů vytvářet skupiny Microsoftu 365. Skupiny Microsoftu 365 můžou vytvářet všichni, kdo mají přiřazenou alespoň roli Správce uživatelů. Postup najdete v rutinách Microsoft Entra pro konfiguraci nastavení skupiny. |
Omezení přístupu k portálu pro správu Microsoft Entra |
Co tento přepínač dělá? Neschválíte, aby nesprávci procházeli portál pro správu Microsoft Entra. Ano Omezuje nesprávce na portálu pro správu Microsoft Entra. Nespravující správci, kteří jsou vlastníky skupin nebo aplikací, nemůžou pomocí webu Azure Portal spravovat vlastní prostředky.
Co to nedělá?
Kdy mám použít tento přepínač?
Kdy použít tento přepínač?
Návody udělit pouze konkrétním uživatelům, kteří nejsou správci, možnost používat portál pro správu Microsoft Entra?
Omezení přístupu k portálu pro správu Microsoft Entra |
Omezení uživatelů, kteří nejsou správci, aby vytvářeli tenanty | Uživatelé můžou vytvářet tenanty na portálu pro správu Microsoft Entra a Na portálu pro správu Microsoft Entra v části Spravovat tenanta. Vytvoření tenanta se zaznamená do protokolu auditu jako kategorie DirectoryManagement a aktivita Create Company. Každý, kdo vytvoří tenanta, se stane globálním správcem tohoto tenanta. Nově vytvořený tenant nedědí žádná nastavení ani konfigurace.
Co tento přepínač dělá?
Návody udělit pouze konkrétním uživatelům bez oprávnění správce možnost vytvářet nové tenanty? |
Omezení obnovení klíčů BitLockeru pro vlastní zařízení | Toto nastavení najdete v Centru pro správu Microsoft Entra v nastavení zařízení. Nastavením této možnosti na Ano omezíte uživatelům možnost samoobslužného obnovení klíčů BitLockeru pro vlastní zařízení. Uživatelé musí kontaktovat helpdesk své organizace, aby získali klíče BitLockeru. Nastavení této možnosti na Bez umožňuje uživatelům obnovit klíče nástroje BitLocker. |
Čtení ostatních uživatelů | Toto nastavení je dostupné jenom v Microsoft Graphu a PowerShellu. Nastavením tohoto příznaku zabráníte $false všem uživatelům, kteří nejsou správcem, číst informace o uživatelích z adresáře. Tento příznak může zabránit čtení informací o uživatelích v jiných služby Microsoft, jako je Microsoft Teams.Toto nastavení je určené pro zvláštní okolnosti, proto nedoporučujeme nastavit příznak na |
Možnost Omezené uživatele bez oprávnění správce při vytváření tenantů je znázorněno na následujícím snímku obrazovky.
Omezení výchozích oprávnění uživatelů typu host
Výchozí oprávnění pro uživatele typu host můžete omezit následujícími způsoby.
Poznámka:
Nastavení omezení přístupu uživatele typu host nahradilo nastavení Oprávnění uživatelů typu host je omezené . Pokyny k používání této funkce najdete v tématu Omezení oprávnění pro přístup hostů v Microsoft Entra ID.
Oprávnění | Vysvětlení nastavení |
---|---|
Omezení přístupu uživatelů typu host | Nastavení této možnosti pro uživatele typu host má stejný přístup jako členové uděluje všem uživatelům uživatelů typu host ve výchozím nastavení oprávnění uživatele typu host. Nastavení této možnosti přístupu uživatelů typu host je omezeno na vlastnosti a členství vlastních objektů adresáře omezuje přístup hostů pouze na vlastní profil uživatele ve výchozím nastavení. Přístup k jiným uživatelům už není povolený, i když hledají podle hlavního názvu uživatele, ID objektu nebo zobrazovaného názvu. Přístup k informacím o skupinách, včetně členství ve skupinách, už také není povolený. Toto nastavení nebrání přístupu k připojeným skupinám v některých službách Microsoftu 365, jako je Microsoft Teams. Další informace najdete v tématu Přístup hosta v Microsoft Teams. Uživatelé typu host se stále dají přidávat do rolí správce bez ohledu na toto nastavení oprávnění. |
Hosté mohou pozvat | Nastavení této možnosti na Ano umožňuje hostům pozvat další hosty. Další informace najdete v tématu Konfigurace nastavení externí spolupráce. |
Vlastnictví objektů
Oprávnění vlastníka registrace aplikace
Když uživatel zaregistruje aplikaci, automaticky se přidá jako vlastník aplikace. Jako vlastník může spravovat metadata aplikace, například název a oprávnění, která aplikace požaduje. Můžou také spravovat konfiguraci aplikace specifickou pro tenanta, například konfiguraci jednotného přihlašování (SSO) a přiřazení uživatelů.
Vlastník může také přidat nebo odebrat další vlastníky. Na rozdíl od těch uživatelů, kteří mají přiřazenou alespoň roli správce aplikace, můžou vlastníci spravovat jenom aplikace, které vlastní.
Oprávnění vlastníka podnikové aplikace
Když uživatel přidá novou podnikovou aplikaci, automaticky se přidá jako vlastník. Jako vlastník může spravovat konfiguraci aplikace specifickou pro tenanta, jako je konfigurace jednotného přihlašování, zřizování a přiřazení uživatelů.
Vlastník může také přidat nebo odebrat další vlastníky. Na rozdíl od těch uživatelů, kteří mají přiřazenou alespoň roli správce aplikace, můžou vlastníci spravovat jenom aplikace, které vlastní.
Oprávnění vlastníka skupiny
Když uživatel vytvoří skupinu, automaticky se přidá jako vlastník této skupiny. Jako vlastník může spravovat vlastnosti skupiny (například název) a spravovat členství ve skupině.
Vlastník může také přidat nebo odebrat další vlastníky. Na rozdíl od uživatelů přiřazených alespoň roli Správce skupin můžou vlastníci spravovat jenom skupiny, které vlastní, a můžou přidávat nebo odebírat členy skupiny jenom v případě, že je přiřazen typ členství skupiny.
Pokud chcete přiřadit vlastníka skupiny, přečtěte si téma Správa vlastníků skupiny.
Pokud chcete použít Privileged Access Management (PIM) k tomu, aby skupina byla způsobilá pro přiřazení role, přečtěte si téma Použití skupin Microsoft Entra ke správě přiřazení rolí.
Oprávnění k vlastnictví
Následující tabulky popisují konkrétní oprávnění v MICROSOFT Entra ID, která členové uživatelé mají nad objekty, které vlastní. Uživatelé mají tato oprávnění pouze pro objekty, které vlastní.
Registrace vlastněných aplikací
Uživatelé můžou při registraci vlastněných aplikací provádět následující akce:
Akce | Popis |
---|---|
microsoft.directory/applications/audience/update | Aktualizujte applications.audience vlastnost v Microsoft Entra ID. |
microsoft.directory/applications/authentication/update | Aktualizujte applications.authentication vlastnost v Microsoft Entra ID. |
microsoft.directory/applications/basic/update | Aktualizujte základní vlastnosti aplikací v Microsoft Entra ID. |
microsoft.directory/applications/credentials/update | Aktualizujte applications.credentials vlastnost v Microsoft Entra ID. |
microsoft.directory/applications/delete | Odstraňte aplikace v Microsoft Entra ID. |
microsoft.directory/applications/owners/update | Aktualizujte applications.owners vlastnost v Microsoft Entra ID. |
microsoft.directory/applications/permissions/update | Aktualizujte applications.permissions vlastnost v Microsoft Entra ID. |
microsoft.directory/applications/policies/update | Aktualizujte applications.policies vlastnost v Microsoft Entra ID. |
microsoft.directory/applications/restore | Obnovte aplikace v Microsoft Entra ID. |
Vlastněné podnikové aplikace
Uživatelé můžou s podnikovými aplikacemi ve vlastnictví provádět následující akce. Podniková aplikace se skládá z instančního objektu, jedné nebo více zásad aplikace a někdy objektu aplikace ve stejném tenantovi jako instanční objekt.
Akce | Popis |
---|---|
microsoft.directory/auditLogs/allProperties/read | Přečtěte si všechny vlastnosti (včetně privilegovaných vlastností) v protokolech auditu v ID Microsoft Entra. |
microsoft.directory/policies/basic/update | Aktualizujte základní vlastnosti zásad v Microsoft Entra ID. |
microsoft.directory/policies/delete | Odstraňte zásady v Microsoft Entra ID. |
microsoft.directory/policies/owners/update | Aktualizujte policies.owners vlastnost v Microsoft Entra ID. |
microsoft.directory/servicePrincipals/appRoleAssignedTo/update | Aktualizujte servicePrincipals.appRoleAssignedTo vlastnost v Microsoft Entra ID. |
microsoft.directory/servicePrincipals/appRoleAssignments/update | Aktualizujte users.appRoleAssignments vlastnost v Microsoft Entra ID. |
microsoft.directory/servicePrincipals/audience/update | Aktualizujte servicePrincipals.audience vlastnost v Microsoft Entra ID. |
microsoft.directory/servicePrincipals/authentication/update | Aktualizujte servicePrincipals.authentication vlastnost v Microsoft Entra ID. |
microsoft.directory/servicePrincipals/basic/update | Aktualizujte základní vlastnosti instančních objektů v MICROSOFT Entra ID. |
microsoft.directory/servicePrincipals/credentials/update | Aktualizujte servicePrincipals.credentials vlastnost v Microsoft Entra ID. |
microsoft.directory/servicePrincipals/delete | Odstraňte instanční objekty v MICROSOFT Entra ID. |
microsoft.directory/servicePrincipals/owners/update | Aktualizujte servicePrincipals.owners vlastnost v Microsoft Entra ID. |
microsoft.directory/servicePrincipals/permissions/update | Aktualizujte servicePrincipals.permissions vlastnost v Microsoft Entra ID. |
microsoft.directory/servicePrincipals/policies/update | Aktualizujte servicePrincipals.policies vlastnost v Microsoft Entra ID. |
microsoft.directory/signInReports/allProperties/read | Čtení všech vlastností (včetně privilegovaných vlastností) v sestavách přihlašování v Microsoft Entra ID. |
microsoft.directory/servicePrincipals/synchronizationCredentials/manage | Správa tajných kódů a přihlašovacích údajů zřizování aplikací |
microsoft.directory/servicePrincipals/synchronizationJobs/manage | Spuštění, restartování a pozastavení synchronizačních úloh zřizování aplikací |
microsoft.directory/servicePrincipals/synchronizationSchema/manage | Vytváření a správa synchronizačních úloh a schématu zřizování aplikací |
microsoft.directory/servicePrincipals/synchronization/standard/read | Čtení nastavení zřizování přidruženého k vašemu instančnímu objektu |
Vlastněná zařízení
Uživatelé můžou na vlastněných zařízeních provádět následující akce:
Akce | Popis |
---|---|
microsoft.directory/devices/bitLockerRecoveryKeys/read | Přečtěte si devices.bitLockerRecoveryKeys vlastnost v Microsoft Entra ID. |
microsoft.directory/devices/disable | Zakažte zařízení v Microsoft Entra ID. |
Vlastněné skupiny
Uživatelé můžou ve vlastněných skupinách provádět následující akce.
Poznámka:
Vlastníci dynamických skupin členství musí mít roli Správce skupin, Správce Intune nebo Správce uživatelů, aby mohli upravovat pravidla pro dynamické skupiny členství. Další informace naleznete v tématu Vytvoření nebo aktualizace dynamické členství ve skupině Microsoft Entra ID.
Akce | Popis |
---|---|
microsoft.directory/groups/appRoleAssignments/update | Aktualizujte groups.appRoleAssignments vlastnost v Microsoft Entra ID. |
microsoft.directory/groups/basic/update | Aktualizujte základní vlastnosti pro skupiny v Microsoft Entra ID. |
microsoft.directory/groups/delete | Odstraňte skupiny v Microsoft Entra ID. |
microsoft.directory/groups/members/update | Aktualizujte groups.members vlastnost v Microsoft Entra ID. |
microsoft.directory/groups/owners/update | Aktualizujte groups.owners vlastnost v Microsoft Entra ID. |
microsoft.directory/groups/restore | Obnovte skupiny v Microsoft Entra ID. |
microsoft.directory/groups/settings/update | Aktualizujte groups.settings vlastnost v Microsoft Entra ID. |
Další kroky
Další informace o nastavení omezení přístupu uživatele typu host naleznete v tématu Omezení oprávnění přístupu hosta v Microsoft Entra ID.
Další informace o přiřazování rolí správce Microsoft Entra najdete v tématu Přiřazení uživatele k rolím správce v Microsoft Entra ID.
Další informace o řízení přístupu k prostředkům v Microsoft Azure najdete v tématu Principy přístupu k prostředkům v Azure.